De beste manier om dingen beter te begrijpen is om ze aan andere uit te leggen. NIS2 was ook voor mij nieuw en enigszins abstract. Ondertussen draaien we regelmatig Pentest projecten voor onze klanten waarbij we ze helpen NIS2-compliant te worden. Jawel, pentesten is een essentieel onderdeel van NIS2-compliancy, maar daarover later mee. Eerst de basis: hoe draai je nu een NIS2 compliancy project?
Het balanceren van deadlines, budgetten en verwachtingen van stakeholders is een dagelijkse realiteit voor ons als projectmanagers. Nu voegt de NIS2-richtlijn hier nog een extra laag complexiteit aan toe. Het is belangrijk om deze nieuwe uitdaging niet te zien als een onoverkomelijke hindernis, maar als een beheersbaar project zoals we dat met elke complexe verandering doen. Change is our thing. Deze gids biedt een praktisch stappenplan voor NIS2-compliance, speciaal afgestemd op het perspectief van projectmanagement.
Wat is NIS2?
De NIS2-richtlijn is een Europese wet die tot doel heeft de cyberveiligheid in heel Europa te versterken. Het is een soort digitale check-up, met name voor bedrijven in vitale sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur, en hun leveranciers. Het belangrijkste doel is de weerbaarheid tegen cyberaanvallen te verbeteren. Zie het als het bouwen van een Fort Knox voor digitale activa. Dit is geen ‘nice to have’ maar een ‘must do’. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw).
Het Perspectief van de Projectleider
Projectleiders staan centraal in elke succesvolle operatie. Het NIS2-compliance project valt onvermijdelijk binnen hun domein, wat een zorgvuldige en gestructureerde aanpak vereist. Het is een project met een sterke focus op cybersecurity en kan worden gezien als een kans voor groei en versterking van de organisatie. Veel organisaties werken nog aan het bereiken van volledige NIS2-compliance, daarom is het nu de juiste stap om de leiding te nemen. De Nederlandse overheid zelf is ook nog lang niet zover, dus ook daar liggen de kansen nog voor het oprapen. Het voelt een beetje als de GDPR implementatie: pas toen het werk gedaan had moeten zijn kwamen veel organisaties in actie.
Haat-liefde: projectmanagers en compliancy projecten
In mijn 25 jaar ervaring met projecten heb ik het ‘geluk’ gehad veel compliancy projecten te hebben mogen draaien. Tussen aanhalingstekens – het zijn doorgaans niet de tofste dingen om te doen, vind ik zelf. Dat zit hem vooral in het feit dat het meestal een ‘moetje’ is. Of het nu een SOCS2, ISO27001, Business continuity, GDPR of NIS2 project is: de organisatie had dit zelf niet bedacht, het levert niet direct klanten of omzet op en het is vaak een enorme waslijst aan dingen die je moet doen, checken of veranderen en daar dan weer over rapporteren.
Klap op de vuurpijl is dan je certificering of audit. Leuk, heb je net met pijn en moeite dat project gedraaid komt er een wijsneus checken of je het wel goed gedaan hebt. Natuurlijk, je houdt je zakelijke gezicht in de plooi – maar velen van ons denken vaak genoeg ‘je moest ’s weten wat ik heb moeten doen om dit al geregeld te krijgen’.
Projectaanpak: NIS2 Effectief Implementeren
Hieronder geen projectplan, PID of ander projectstartpunt – dat ken je al of vind je elders op de site, maar een overzicht van de specifieke NIS2 dingen die je zult moeten doen, checken of laten doen. Tis overzichtelijk en er zijn veel hulpmiddelen.
1. Assessment: De SOLL situatie, nulmeting, status quo
Ja begin bij het begin dus – waar sta je? Als je een project draait wat al in een programma past is dit al gedaan, maar als jij de gelukkige projectleider bent die het NIS2 compliancy traject gaat trekken zul je eerst moeten bepalen wat er moet gebeuren.
• De NIS2 Quick Scan: Begin met een NIS2 Quickscan. Deze biedt een goed overzicht van het huidige niveau van voorbereiding. Verschillende instanties bieden dit aan, waaronder het Digital Trust Center (DTC) van de overheid.
• Zelfevaluatie Tool: De zelfevaluatie tool kan je helpen te bevestigen of je organisatie binnen de scope van NIS2 valt – ook een gratis tool van de overheid.
• Stakeholder Interviews: Ga in gesprek met de CISO (Chief Information Security Officer), IT-specialisten en andere stakeholders om bestaande procedures te begrijpen en hiaten te identificeren. Uiteindelijk ben je de projectleider en niet de security officer of C-level verantwoordelijk voor de implementatie.
• Eerlijke Review: Een openhartige beoordeling van de digitale beveiliging van je organisatie is essentieel – dus net als bij ISO, BCP trajecten of andere compliancy zaken pak je de compliancy meetlat en ga je kijken waar je staat. Het helpt nu niet om te doen alsof alles goed geregeld is: er komt een keer een audit en dan val je door de mand, plus, als het er erg genoeg uit ziet heb je een argument voor een redelijk budget.
2. Doel: De Gewenste Status Definiëren, de IST.
Nadat je hebt vastgesteld waar je staat bepaal je wat NIS2 praktisch gezien voor jouw organisatie betekent. Dus afhankelijk van de meetlat moet je bepalen welke elementen je moet aanpakken, implementeren of welke je kunt overslaan. Dat kan aan de hand van gesprekken met je stuurgroep, security specialisten en ander management die de verantwoording uiteindelijk dragen. Want dat is wel het punt met NIS2: de verantwoordelijkheid is groot en persoonlijk. Er is geen ‘ja dat wist ik niet’ als er een keer een enorm lek is en de beveiliging blijkt niet op orde – dat is precies een van de NIS2 dingen: het is niet vrijblijvend voor bestuurders.
• Juridische Review: Analyseer de NIS2-richtlijn en de Cyberbeveiligingswet. Hoewel juridische expertise handig is, is het niet per se nodig; het is meer als het lezen van een Ikea handleiding.
• De 10 Verplichtingen: De Cyberbeveiligingswet beschrijft 10 essentiële beveiligingsverplichtingen en die zul je moeten beoordelen c.q. laten beoordelen op staat van implementatie en in hoeverre er een ‘GAP’ is tussen waar je staat en wat er voorgeschreven wordt.
- Risicobeoordeling: Analyseer de risico’s die verbonden zijn aan je informatiesystemen.
- Beveiligingsbeleid: Focus op personeel, toegang en asset management.
- Bedrijfscontinuïteit: Ontwikkel back-up- en noodplannen.
- Incidentafhandeling: Weet hoe te reageren op cyberincidenten.
- Cyberhygiëne: Implementeer trainingen en bewustmakingsprogramma’s.
- Veilige Ontwikkeling: Neem maatregelen tijdens de aanschaf, ontwikkeling en onderhoud van systemen, inclusief kwetsbaarhedenbeheer.
- Beveiliging van de Leveringsketen: Beveilig je leveranciersnetwerk.
- Cryptografie: Implementeer encryptieprotocollen.
- Multi-Factor Authenticatie: Gebruik sterkere wachtwoordmethoden.
- Effectiviteit Meten: Zorg voor procedures en beleid om de effectiviteit van de genomen maatregelen te beoordelen, bijvoorbeeld middels een pentest.
Overweeg certificering & pentesten: Kijk naar ISO 27001, een norm voor informatiebeveiliging, die goed aansluit bij NIS2. Door meteen je ISO 27001 te behalen weet je dat je voor een groot deel aan NIS2 voldoet en heb je bewijs voor de effectiviteit. Onderdeel van dit proces is een periodieke pentest op je infrastructuur en applicatielandschap, om vast te stellen of je beveiligingsmaatregelen ook echt werken.
Beoordeel Leveranciers: Zorg ervoor dat alle leveranciers voldoen aan NIS2, wat ook jouw verantwoordelijkheid voor de leveringsketen omvat. Dit is nieuw: je bent nu ook verantwoordelijk voor je leveranciersketen – dus kritisch zijn op je leveranciers wordt belangrijker dan ooit. Vraag naar hun NIS2 compiancy, ISO of NEN certificering en vergewis jezelf er van dat je geen risico loopt door gebruik te maken van leveranciers die hun zaken niet op orde hebben – terwijl jij dat wel hebt!
3. Gap-Analyse: Dat wat er moet gebeuren vaststellen
• Vergelijk Huidige en Gewenste Status: Bepaal waar de hiaten in compliance bestaan, kortgezegd. In de praktijk is dit een lastige want je moet ergens bepalen hoever je wilt gaan. Elk compliancy traject kent een afweging van hoe zwaar de benodigde maatregelen mogen wegen en alles tot op de letter nauwkeurig implementeren kan haast niet omdat er vaak een enorm grijs gebied is. Dus, een GAP analyse om het overzicht te creeen en dan snel door naar de volgende stap.
• Prioriteer: Wist je dat ‘prioriteren’ helemaal geen goed Nederlands is? Enfin, wij gebruiken het woord natuurlijk te pas en te onpas en dat komt omdat prioritizing uit het Engels wel lekker klinkt en werkt om te beschrijven hoe je aan de hand van een MoSCoW analyse of andere methode gaat bepalen wat moet, wat eerst moet en wat mag en later kan. Focus eerst op het aanpakken van de meest kritieke risico’s, dus een risico analyse kan een goede basis zijn.
• Actieplan: Definieer de nodige stappen om de geïdentificeerde hiaten te overbruggen – oftewel de optel- of aftreksom van GAP + risicoanalyse en prioriteit bepaling geeft je het actieplan.
• Budget: Stel de kosten van compliance maatregelen vast en begin alvast moeilijk te kijken naar de opdrachtgever. Dit gaat meer kosten dan die had gehoopt, dat weten jij en ik op voorhand al. Zonder dollen: budgetbepaling in deze trajecten zijn in theorie eenvoudig: het moet – maar omdat budgetten eindig zijn komt het ook neer op ‘maar van alle dingen die moeten, wat moet het meest?’. Vandaar die risico analyse.
• Team: Stel een projectteam samen uit verschillende afdelingen met de benodigde expertise. En hoewel compliancy dus niet per se cool is, kunnen de te implementeren maatregelen dit wel zijn. Soms is de verpakking net zo belangrijk als de inhoud, dus maak je project enigszins sexy en cool.
4. Implementatie: Actie Onderneen
•Technische Maatregelen: Implementeer firewalls en multi-factor authenticatie en versterk wachtwoordbeleid. En van die dingen. Uiteraard gaat dit verder dan alleen wat spulletjes kopen, want tegenwoordig heb je SoC, SIEM, xdr, edr, en talloze andere verzamelingen van tools en methoden om problemen op te sporen. Als ik een tip mag geven: gebruik warroom sessies om te kijken of de som van alles daadwerkelijk doet wat het moet doen en zorg op de eerste plek voor garanties dat je backups hebt en kunt terugzetten, ook als hackers alles te pakken hebben genomen. Je dure hippe tools helpen niets als je achteraf kunt zien dat je backups niet goed zijn, of door hackers te verwijderen bijvoorbeeld.
•Organisatorische Maatregelen: Creëer beleid, procedures en geef personeel training. Vooral over personeelstraining is veel te doen de laatste tijd: het werkt namelijk niet. Statistisch niet, praktisch niet en theoretisch niet. Dus ja, beleid en procedures zijn extreem belangrijk, voor zowel je ISMS, in- en uit dienst, beheer van software, systemen, monitoring, allemaal belangrijk – maar laat het idee los dat als medewerkers elke dag gebeld, gemaild en benaderd worden dat er niet 1 x iemand is die toch op een verkeerd linkje klikt of te veel informatie deelt. Bouw je omgeving op de wetenschap dat dit gebeurt. Vroeg of laat.
•Documentatie: Houd grondige administratie bij voor auditdoeleinden. Leukste deel. Documenteren, wie houdt er niet van. Overweeg dus zoveel mogelijk met tools te werken die documentatie en audit trails bijhouden, of ga ten onder aan de excel sheets die al verouderd zijn als je je ze opslaat.
•Pentesten: Controleer grondig de effectiviteit van alle geïmplementeerde maatregelen door te pentesten en audits uit te voeren. Maar ook: warroom sessies te organiseren met de hele board. Dit is wennen, want ook de hoogste baas moet erbij zitten – die is immers onder NIS2 hoofdelijk aansprakelijk als het mis gaat en er was onvoldoende voldaan aan NIS2. Een pentest helpt je vooral je technische maatregelen te verifieren en is ook noodzakelijk en dat bij herhaling (jaarlijks pentest budget dus).
5. Monitoring en Meting:
•KPI’s: Stel key performance indicators vast om incidenten en oplostijden te monitoren.
•Audits: Voer regelmatig audits uit om compliance te behouden & pentest regelmatig.
•Updates: Blijf op de hoogte van nieuwe bedreigingen en pas maatregelen aan [from conversation history].
6. Rapportage
•Meld Incidenten: Meld cyberincidenten aan het meldpunt van de overheid. Geef een eerste waarschuwing binnen 24 uur en een gedetailleerd rapport binnen 72 uur. Dit is een wettelijke plicht, net als datalekken gemeld moeten worden bij de AP.
•Interne Communicatie: Houd het bedrijf op de hoogte van de projectstatus en de resultaten.
NIS2 projectgids voor projectmanagers – wat je doet als projectleider
•Facilitator: Zorg ervoor dat alle teamleden duidelijk zijn over hun rollen en verantwoordelijkheden. Je weet alles al van projecten, dus dit is een open boek voor je, maar toch.
•Communicator: Houd alle stakeholders op de hoogte van voortgang, uitdagingen en successen, met eerlijkheid en transparantie. Ik ben zelf fan van een pakkende projectnaam, periodieke update en een goed stakeholder management proces en stakeholder matrix om te zien wie je moet en wie je wilt informeren.
•Probleemoplosser: Pak alle obstakels efficiënt en effectief aan. Duh. Ze noemen ons niet voor niets full-time volwassenen babysitters, toch?
•Motivator: Behoud een positieve teamomgeving – want compliancy is cool. Compliancy is tof. Wij. willen. compliancy. Of je neemt stroopwafels mee, want iedereen vindt stroopwafels lekker.
Praktische tips
•Vermijd Jargon: Gebruik duidelijke taal en vermijd technische termen waar mogelijk want compliancy is al saai genoeg. Weet je niet meer hoe je in normale mensentaal dingen moet uitleggen? Vraag het je favo AI!
•Leer van Anderen: Raadpleeg experts om door complexe zaken te navigeren .
•Gebruik Tools: Verken beschikbare tools en platformen die helpen bij de NIS2-implementatie.
•Houd het Simpel: Gebruik eenvoudige en praktische oplossingen en val niet voor de lading complexe tools en oplossingen zonder dat je de basis op orde hebt en weet wat je waarvoor nodig hebt.
•Maak gebruik van AI: Overweeg het gebruik van AI om beveiligingsprocessen te automatiseren, maar blijf je bewust van de risico’s en bescherm gevoelige data.
Tijdslijn: We zijn al te laat en toch op tijd
•Hoewel de deadline voor het omzetten van NIS2 naar nationale wetgeving was vastgesteld op 17 oktober 2024, wordt de Cyberbeveiligingswet nu verwacht in 2025. Dus we zijn te laat, maar toch nog op tijd. De Cyberbeveiligingswet zal meer praktische invulling geven over wat te doen, al is dat net als bij de vertaling van de GDPR naar de Nederlandse AVG meer een formaliteit dan een spelbreker – de NIS2 richtlijn is er immers en gaat de komende jaren bij herhaling aangepast worden. Dus nu beginnen is een prima plan.
•Organisaties moeten nu in actie komen. Cyberdreigingen zijn imminent en wachten niet. Het is raadzaam om met de voorbereidingen te beginnen in plaats van te wachten op het volledige wettelijke kader. Aldus de roepende in de woestijn: feit is wel dat je ook om andere redenene dan louter compliancy NIS2 compliant zou moeten willen zijn. Bijvoorbeeld omdat je als bestuurder lekker wilt slapen en niet bang wilt zijn dat je persoonlijk aansprakelijk gesteld wordt als jouw bedrijf een heftig cyberincident te verduren heeft en je NIS2 project op de lange baan geschoven was.
•Begin met de risicobeoordeling en implementeer de eerste maatregelen dus.. vandaag nog?
NIS2: Een Kans. Een project. Een programma.
Hoewel NIS2-compliance complex kan zijn, is het ook een kans om de cybersecurity van je organisatie te verbeteren. Dit type compliance project wordt niet als spannend gezien, maar het biedt de perfecte gelegenheid om het budget te krijgen waar de CISO al jaren naar verlangt, om cruciale projecten van de grond te krijgen. Omdat NIS2 kan resulteren in verschillende (implementatie)projecten, kan het goed worden gezien als een programma in plaats van een enkel project, afhankelijk van hoe complex de bedrijfsstructuur is.
Het Belang van een Goede Pentest
Het vinden van een goede pentest provider kan moeilijk zijn voor organisaties. Dit is iets dat we bij Sunbytes hebben opgemerkt. Naast het bieden van ondersteuning in alle zaken rondom NIS2, positioneert Sunbytes zichzelf als die betrouwbare partner voor pentesting.
Waarin we ons onderscheiden: ISO 27001 gecertificeerd, ethical pentester gecertificeerd, gespecialiseerd in pentesten op maat, waarbij we je bedrijf eerst leren kennen en begrijpen en vervolgens onze ethical hackers alles conform standaarden laten nalopen en specifiek die dingen waar de organisatie het meeste belang aan hecht.
Disclaimer: Deze gids is een startpunt op basis van de huidige informatie. Raadpleeg altijd de laatste juridische documenten. De overheid biedt middelen aan via het Digital Trust Center en het Nationaal Cyber Security Centrum (NCSC).
